アップグレードの概要
LINUXシステムエンジニアのMark Miller氏が初めてNASAゴダード宇宙飛行センターに加わった当時、NASAゴダードではCryptvaultというツールでパスワードを管理していました。「十分使える」ツールではあったものの、ColdFusion(CFML)で書かれ、15年以上前のものであり、作成した開発者はすでに組織を離れて久しい状態でした。また、1つのシステムに固定されており、関連する暗号化も限定的な32ビットコードベース向けに書かれていました。NASAゴダードが他のレガシーシステムから移行する時期を迎えると、ITチームは代替となるパスワード管理ソリューションを探し始めました。
機密情報やパスワードを安全に共有するための、セキュアで包括的な方法を見つけることは、NASAゴダードのチームにとって重要な課題でした。政府機関は以前からサイバー犯罪の標的となっており、特に国家主体の攻撃者によるものですが、2022年SonicWallサイバー脅威レポートでは、米国政府に対するあらゆる形態のサイバー攻撃が大幅に増加していることが示されました。また、脆弱なパスワードとデータ侵害の関連性は否定できず、一連のVerizonデータ侵害レポートがその関連性を指摘しています。実際の事例も示唆に富んでいます。さらなる証拠として、SolarWindsやColonial Pipelineをご覧ください。
システム要件
NASAゴダードのマークのチームは、複数ユーザーに対応し、直感的なWeb UIを備え、共有しやすいサイトを探していました。また、ローカルデータストレージを可能にするプラットフォームであることも非常に重要でした。クラウド技術には多くの利点がありますが、組織が自らのローカルデータを管理することはできません。ローカルストレージが必要だったため、多くのパスワード管理ベンダーはクラウドでしか利用できず、候補から外れました。
チームはパスワード管理ツールを内製することも検討しましたが、形にするためのセキュリティ経験やコーディングの専門知識が不足していました。さらに、開発チームはすでに既存プロジェクトに取り組んでおり、追加で引き受ける余力もありませんでした。コストも大きな検討事項でした。そこで登場したのがBitwardenです。
Bitwardenは、NASAが必要としていたすべての要件を満たしていました。検索やパスワードジェネレーター/パスフレーズジェネレーター/ユーザー名ジェネレーターなどの予想外の新機能に加え、暗号化ストレージと管理バックエンドも提供していました。
Bitwardenのメリット
誰かが組織を離れる場合でも、Bitwardenは後任の従業員へ情報を引き継ぐ優れた方法を提供します。また、「プロセス」を重視する文化も生まれ、ITチームにとって大きな恩恵となりました。パスワード管理にプロセスを組み込むことで、チームがパスワードマネージャーに一貫性のある整理された方法でパスワードを入力することに慣れ、それが自然な行動になります。さらに、複数のシステムやブラウザーにわたって認証情報を保存する必要もなくなりました。
今後、チームはBitwarden SSOのエンタープライズ統合の活用に意欲を示しています。また、オンサイトで使用される電話などの組織のデバイスをBitwardenの利用対象にできるかも検討しています。最後に、NASAの他部門への展開の可能性も検討しています。
「パスワードは今後もなくなりません」とミラー氏は述べています。「パスワードが消えることはありません。組織の運用を維持するには、組織内で共有する必要のあるサービスアカウント、APIキー、その他の安全な認証情報があまりにも多いのです。」
“Using a password manager like Bitwarden can really help your team be more efficient and more organized.”
プレゼンテーションを見る
この年次カンファレンスの詳細は、opensourcesecuritysummit.comをご覧ください。
Bitwardenを始める
Bitwardenを始める準備はできましたか?無料のBitwardenアカウントに登録するか、ビジネスプランの7日間無料トライアルに登録して、ビジネスとチームのオンラインでの安全を守りましょう。